Criar uma conexão Site a Site usando o portal do Azure (clássico)
Este artigo mostra como usar o portal do Azure para criar uma conexão de gateway de VPN Site a Site de sua rede local para a rede virtual. As etapas deste artigo se aplicam ao modelo de implantação clássico (herdado) e não se aplicam ao modelo de implantação atual, o Resource Manager. Em vez disso, consulte a versão do Gerenciador de Recursos deste artigo.
Importante
Você não pode mais criar novos gateways de rede virtual para redes virtuais de modelo de implantação clássico (gerenciamento de serviço). Novos gateways de rede virtual só podem ser criados para redes virtuais do Resource Manager.
Uma conexão de gateway de VPN Site a Site é usada para conectar a rede local a uma rede virtual do Azure por um túnel VPN IPsec/IKE (IKEv1 ou IKEv2). Esse tipo de conexão exige um dispositivo VPN localizado no local que tenha um endereço IP público voltado para o exterior atribuído a ele. Para saber mais sobre os gateways de VPN, veja Sobre o gateway de VPN.
Observação
Este artigo foi escrito para o modelo de implantação clássico (herdado). Recomendamos que você use o modelo de implantação mais recente do Azure. O modelo de implantação do Resource Manager é o modelo de implantação mais recente e oferece mais opções e compatibilidade de recursos do que o modelo de implantação clássico. Para entender a diferença entre esses dois modelos de implantação, consulte Noções básicas sobre modelos de implantação e o estado dos seus recursos.
Se você quiser usar uma versão diferente deste artigo, use o sumário no painel esquerdo.
Antes de começar
Verifique se você atende aos seguintes critérios antes de iniciar a configuração:
- Verifique se você deseja trabalhar no modelo de implantação clássico. Se você deseja trabalhar no modelo de implantação do Gerenciador de Recursos, confira Criar uma conexão Site a Site (Gerenciador de Recursos). É recomendável usar o modelo de implantação do Resource Manager, pois o modelo clássico é herdado.
- Verifique se você possui um dispositivo VPN compatível e alguém que possa configurá-lo. Para obter mais informações sobre dispositivos VPN compatíveis e a configuração de dispositivo, confira Sobre dispositivos VPN.
- Verifique se você possui um endereço IPv4 público voltado para o exterior para seu dispositivo VPN.
- Se você não estiver familiarizado com os intervalos de endereço IP localizados na configuração de rede local, fale com alguém que possa lhe dar essa informação. Ao criar essa configuração, você deve especificar os prefixos de intervalo de endereços IP que o Azure roteará para seu local. Nenhuma das sub-redes da rede local podem se sobrepor às sub-redes de rede virtual às quais você deseja se conectar.
- O PowerShell é necessário para especificar a chave compartilhada e criar a conexão de gateway de VPN. Ao trabalhar com o modelo de implantação clássico, você não pode usar o Azure Cloud Shell. Em vez disso, você deve instalar a versão mais recente dos cmdlets do PowerShell do Azure Service Management (SM) localmente em seu computador. Esses cmdlets são diferentes dos cmdlets AzureRM ou Az. Para instalar os cmdlets SM, consulte Instalar cmdlets de gerenciamento de serviços. Para obter mais informações sobre o Azure PowerShell em geral, consulte a Documentação do Azure PowerShell.
Exemplo de valores de configuração para este exercício
Os exemplos neste artigo usam os seguintes valores. Você pode usar esses valores para criar um ambiente de teste ou consultá-los para compreender melhor os exemplos neste artigo. Normalmente, ao trabalhar com valores de endereço IP para o Espaço de endereço, você deseja coordenar com o administrador de rede para evitar espaços de endereço sobrepostos, que podem afetar o roteamento. Nesse caso, substitua os valores de endereço IP por seus próprios se você quiser criar uma conexão de trabalho.
- Grupo de recursos: TestRG1
- Nome da rede virtual: TestVNet1
- Espaço de endereço: 10.11.0.0/16
- Nome da sub-rede: FrontEnd
- Intervalo de endereços da sub-rede: 10.11.0.0/24
- GatewaySubnet: 10.11.255.0/27
- Região: (EUA) Leste dos EUA
- Nome do site local: Site2
- Espaço de endereço do cliente: o espaço de endereço localizado no site local.
Criar uma rede virtual
Ao criar uma rede virtual a ser usada para uma conexão site a site, você precisa certificar-se de que os espaços de endereço especificados não se sobreponham a um dos espaços de endereço de cliente dos sites locais aos quais você deseja se conectar. Se você tiver uma sobreposição de sub-redes, a conexão não funcionará corretamente.
Se você já tiver uma rede virtual, verifique se as configurações são compatíveis com seu design de gateway de VPN. Preste atenção especial a todas as sub-redes que possam se sobrepor a outras redes.
Se você ainda não tiver uma rede virtual, crie uma. Capturas de tela são fornecidas como exemplos. Substitua os valores pelos seus próprios.
Para criar uma rede virtual
- Em um navegador, navegue até o portal do Azure e, se necessário, entre com sua conta do Azure.
- Selecione +Criar um Recurso. No campo Pesquisar no Marketplace, digite "Rede Virtual". Localize Rede Virtual na lista retornada e selecione nela para abrir a página Rede Virtual.
- Na página Rede Virtual, no botão Criar, você verá "Implantar com o Gerenciador de recursos (alterar para clássico)". O Gerenciador de Recursos é o padrão para a criação de uma VNet. Você não deseja criar uma VNet do Resource Manager. Selecione (alterar para clássico) para criar uma VNet clássica. Em seguida, selecione a guia Visão geral e selecione Criar.
- Na página Criar rede virtual (clássica) , na guia Noções básicas, defina as configurações de VNet com os valores de exemplo.
- Selecione Examinar + criar para validar suas VNet.
- A validação é executada. Depois que a VNet for validada, selecione Criar.
As configurações de DNS não são uma parte obrigatória desta configuração, mas o DNS é necessário se você quiser resolução de nomes entre suas VMs. A especificação de um valor não cria um novo servidor DNS. O endereço IP do servidor DNS especificado deve ser um servidor DNS que pode resolver os nomes dos recursos aos quais você está se conectando.
Depois de criar a rede virtual, você pode adicionar o endereço IP de um servidor DNS para lidar com a resolução de nomes. Abra as configurações de sua rede virtual, selecione em servidores DNS e adicione o endereço IP do servidor DNS que você deseja usar para resolução de nome.
- Localize a rede virtual no portal.
- Na página de sua rede virtual, na seção Configurações, selecione Servidores DNS.
- Adicionar um servidor DNS.
- Para salvar suas configurações, selecione Salvar na parte superior da página.
Configurar o site e o gateway
Para configurar o site
O site local normalmente se refere ao seu site local. Ele contém o endereço IP do dispositivo VPN no qual você criará uma conexão e os intervalos de endereços IP que serão roteados através do gateway de VPN para o dispositivo VPN.
Na página de VNet, em Configurações, selecione Conexões site a site.
Na página Conexões site a site, selecione + Adicionar.
Na página Configurar uma conexão VPN e um gateway, para Tipo de conexão, deixe a opção Site a site selecionada. Para este exercício, você precisará usar uma combinação dos valores de exemplo e seus próprios valores.
Endereço IP do gateway de VPN: esse é o endereço IP público do dispositivo VPN de sua rede local. O dispositivo VPN exige um endereço IP IPv4 público. Especifique um endereço IP público válido para o dispositivo VPN ao qual você deseja se conectar. Ele deve estar acessível pelo Azure. Se você não souber o endereço IP de seu dispositivo VPN, coloque-o em um valor de espaço reservado (desde que esteja no formato de um endereço IP público válido) e depois altere-o.
Espaço de endereço do cliente: lista os intervalos de endereços IP que você deseja rotear até a rede local por meio deste gateway. Você pode adicionar vários intervalos de espaço de endereço. Certifique-se de que os intervalos especificados aqui não se sobreponham aos intervalos de outras redes as quais sua rede virtual se conecta, ou com os intervalos de endereços da própria rede virtual.
Na parte inferior da página, NÃO selecione Examinar + criar. Em vez disso, selecione Avançar: Gateway>.
Para configurar o gateway de rede virtual
Na página Gateway, selecione os seguintes valores:
Tamanho: esse é o gateway SKU que você usa para criar o gateway de rede virtual. Gateways VPN clássicos usam SKUs de gateway antigos (herdados). Para saber mais sobre os SKUs de gateway antigos, confira Trabalhar com SKUs de gateway de rede virtual (SKUs antigos). É possível selecionar Standard para este exercício.
Sub-rede de gateway: o tamanho da sub-rede de gateway que você especifica depende da configuração do gateway de VPN que deseja criar. Embora seja possível criar uma sub-rede do gateway tão pequena quanto /29, recomendamos que você use /27 ou /28. Isso cria uma sub-rede maior que inclui mais endereços. Usar uma sub-rede de gateway maior permite endereços IP suficientes para acomodar as possíveis configurações futuras.
Selecione Examinar + criar na parte inferior da página para validar as configurações. Selecione Criar para implantar. Dependendo do SKU selecionado, a criação de um gateway de rede virtual pode levar até 45 minutos.
Configurar o dispositivo de VPN
As conexões Site a Site para uma rede local exigem um dispositivo VPN. Nesta etapa, você deve configurar seu dispositivo VPN. Ao configurar seu dispositivo VPN, você precisará dos seguintes valores:
- Uma chave compartilhada. Essa é a mesma chave compartilhada especificada ao criar a conexão VPN Site a Site. Em nossos exemplos, usamos uma chave compartilhada básica. Recomendamos gerar uma chave mais complexa para uso.
- O endereço IP público do seu gateway de rede virtual. Você pode exibir o endereço IP público usando o portal do Azure, o PowerShell ou a CLI.
Dependendo do dispositivo VPN que você tem, talvez seja possível fazer o download de um script de configuração do dispositivo VPN. Para saber mais, confira Fazer download dos scripts de configuração de dispositivo de VPN.
Os links a seguir fornecem mais informações de configuração:
Para obter informações sobre dispositivos de VPN compatíveis, veja Sobre dispositivos de VPN.
Antes de configurar seu dispositivo de VPN, verifique se há problemas conhecidos de compatibilidade de dispositivos.
Para obter links para as definições de configuração do dispositivo, confira Dispositivos VPN Validados. Fornecemos os links de configuração do dispositivo da melhor maneira possível, mas é sempre melhor verificar com o fabricante do dispositivo as informações de configuração mais recentes.
A lista mostra as versões que testamos. Se a versão do sistema operacional do seu dispositivo de VPN não estiver na lista, ele ainda poderá ser compatível. Verifique com o fabricante do seu dispositivo.
Para obter informações básicas sobre a configuração de dispositivos de VPN, veja Visão geral das configurações de dispositivos de VPN de parceiros.
Para obter informações sobre a edição dos exemplos de configuração do dispositivo, consulte Edição de exemplos.
Para requisitos de criptografia, veja Sobre os requisitos de criptografia e gateways de VPN do Azure.
Para obter informações sobre os parâmetros necessários para concluir sua configuração, veja Parâmetros IPsec/IKE padrão. As informações incluem versão do IKE, grupo DH (Diffie-Hellman), método de autenticação, algoritmos de criptografia e hash, vida útil da SA ( associação de segurança), PFS (sigilo de encaminhamento perfeito) e DPD (detecção de par morto).
Para obter as etapas de configuração da política IPsec/IKE, veja Configurar políticas de conexão IPsec/IKE personalizadas para VPN S2S e VNet-to-VNet.
Para conectar vários dispositivos VPN baseados em políticas, veja Conectar um gateway VPN a vários dispositivos VPN locais baseados em políticas.
Recuperar valores
Quando você cria VNets clássicas no portal do Azure, o nome que você vê não é o nome completo usado para o PowerShell. Por exemplo, uma VNet que parece ter o nome TestVNet1 no portal, pode ter um nome muito mais longo no arquivo de configuração de rede. Para uma VNet no grupo de recursos, o nome "ClassicRG" pode ser semelhante a: Group ClassicRG TestVNet1. Ao criar suas conexões, é importante usar os valores que você vê no arquivo de configuração de rede.
Nas etapas a seguir, você vai se conectar à sua conta do Azure, bem como baixar e exibir o arquivo de configuração de rede para obter os valores que são necessários para as conexões.
Baixe e instale a versão mais recente dos cmdlets do PowerShell do SM (Gerenciamento de Serviços) do Azure. A maioria das pessoas tem os módulos do Resource Manager instalados localmente, mas não têm módulos de gerenciamento de serviços. Os módulos de gerenciamento de serviços são herdados e devem ser instalados separadamente. Para obter mais informações, consulte Instalar cmdlets de Gerenciamento de Serviços.
Abra o console do PowerShell com direitos elevados e conecte-se à sua conta. Use o exemplo a seguir para ajudar a conectar. Você deve executar esses comandos localmente usando o módulo de gerenciamento de serviços do PowerShell. Conecte-se à sua conta. Use o exemplo a seguir para ajudar a se conectar:
Add-AzureAccount
Verificar as assinaturas da conta.
Get-AzureSubscription
Se você tiver mais de uma assinatura, selecione a assinatura que deseja usar.
Select-AzureSubscription -SubscriptionId "Replace_with_your_subscription_ID"
Criar um diretório no seu computador. Por exemplo, C:\AzureVNet
Exporte o arquivo de configuração de rede para o diretório. Neste exemplo, o arquivo de configuração de rede é exportado para C:\AzureNet.
Get-AzureVNetConfig -ExportToFile C:\AzureNet\NetworkConfig.xml
Abra o arquivo com um editor de texto e exiba os nomes dos sites e VNets. Esses nomes serão os nomes usados na criação de suas conexões.
Os nomes de VNet são listados como VirtualNetworkSite name =
Os nomes de Sitesão listados como LocalNetworkSiteRef name =
Criar a conexão
Observação
Para o modelo de implantação clássico, essa etapa não está disponível no portal do Azure ou via Azure Cloud Shell. Use a versão de SM (Gerenciamento de Serviço) dos cmdlets do Azure PowerShell localmente no seu desktop.
Nesta etapa, usando os valores das etapas anteriores, defina a chave compartilhada e crie a conexão. A chave que você define deve ser a mesma chave usada na configuração do dispositivo VPN.
Defina a chave compartilhada e crie a conexão.
- Altere o valor -VNetName e o valor -LocalNetworkSiteName. Ao especificar um nome que contenha espaços, use aspas simples ao redor do valor.
- '-SharedKey' é um valor que você gera e especifica. Neste exemplo, usamos 'abc123', mas você pode (e deve) usar algo mais complexo. O importante é que o valor especificado aqui deve ser o mesmo valor especificado ao configurar seu dispositivo VPN.
Set-AzureVNetGatewayKey -VNetName 'Group TestRG1 TestVNet1' ` -LocalNetworkSiteName '6C74F6E6_Site2' -SharedKey abc123
Quando a conexão é criada, o resultado é: Status: Bem-sucedida.
Verificar a conexão
No portal do Azure, você pode exibir o status da conexão para um gateway de VPN de rede virtual clássica navegando até a conexão. As etapas a seguir mostram uma maneira de navegar para a conexão e verificar.
- No portal do Azure, vá para sua VNet (rede virtual clássica).
- Na página VNet, clique no tipo de conexão que deseja ver. Por exemplo, Conexões site a site.
- Na página Conexões site a site, em Nome, selecione a conexão do site que deseja exibir.
- Na página Propriedades, exiba as informações sobre a conexão.
Se você estiver tendo problemas para se conectar, consulte a seção Solucionar problemas do sumário no painel esquerdo.
Como redefinir um gateway de VPN
Redefinir um gateway de VPN do Azure é útil se você perde a conectividade VPN entre locais em um ou mais túneis de VPN site a site. Nessa situação, os dispositivos VPN locais estão funcionando corretamente, mas não conseguem estabelecer túneis IPsec com os gateways de VPN do Azure.
O cmdlet para redefinir um gateway clássico é Reset-AzureVNetGateway. Os cmdlets do Azure PowerShell para gerenciamento de serviços devem ser instalados localmente na área de trabalho. Não é possível usar o Azure Cloud Shell. Antes de realizar uma redefinição, certifique-se de que possui a última versão dos cmdlets do PowerShell do Gerenciamento de Serviços (SM) .
Ao usar esse comando, verifique se que você está usando o nome completo da rede virtual. As VNets clássicas que foram criadas usando o portal têm um nome longo que é necessário para o PowerShell. Você pode exibir o nome longo usando Get-AzureVNetConfig -ExportToFile C:\Myfoldername\NetworkConfig.xml
.
O exemplo a seguir redefine o gateway para uma rede virtual chamada "Group TestRG1 TestVNet1" (que aparece simplesmente como "TestVNet1" no portal):
Reset-AzureVNetGateway –VnetName 'Group TestRG1 TestVNet1'
Resultado:
Error :
HttpStatusCode : OK
Id : f1600632-c819-4b2f-ac0e-f4126bec1ff8
Status : Successful
RequestId : 9ca273de2c4d01e986480ce1ffa4d6d9
StatusCode : OK
Como redimensionar um SKU de gateway
Para redimensionar um gateway para o modelo de implantação clássico, você deve usar os cmdlets do PowerShell de gerenciamento de serviços. Use o seguinte comando:
Resize-AzureVirtualNetworkGateway -GatewayId <Gateway ID> -GatewaySKU HighPerformance
Próximas etapas
- Quando sua conexão for concluída, você poderá adicionar máquinas virtuais às suas redes virtuais. Para saber mais, veja Máquinas virtuais.
- Para saber mais sobre Túneis Forçados, confira Sobre o Túnel Forçado.